OpenVPN entre pfSense e endian

victor.rossini

Ola pessoal!

Estou com um cliente novo que possui 2 unidades, uma com pfSense e outra com Endian…
Ja tentei por diversas vezes conectar os 2 firewall, mas até agora sem sucesso.
Alguém ja pegou esse cenário, ou sabe de algo que possa me ajudar?

Obrigado!

victor.rossini

Consegui solucionar com IPSec.

Obrigado!

reginaldo_barreto

Deixa documentado como conseguiu fazer, pois isso é muito util para todos..

Luizfc

Olá Reginaldo, também estava com essas dificuldades..

DEPOIS DE UMA SEMANA DE TESTES…..

consegui da seguinte forma o endian é o 2.5.1 e na 3.0 devel

LADO PFSENSE  phase 1

Authentication method mutual psk

Negotiation mode MAIN

My identifier   KEYIDTAG  PFSENSE

Peer identifier KEYIDTAG  ENDIAN

Pre-Shared Key PASSWORD
/////////////////////////////////////////////////////

PHASE 1 PROPOSAL ALGORITMS

Encryption algorithm  AES      | 128

Hash algorithm  SHA1

DH key group  5 (1536BIT)

LIFETIME 28800
///////////////////////////////////////////////////////

Advanced Options

DISABLE REKEY DESMARCADO

RESPONDER ONLY DESMARCADO

NAT TRAVERSAL  FORCE

DEAD PEER DETECTION    MARCADO A OPÇÃO ENABLE DPD

10 SECONDS

5 RETRIES

"SAVE"

PHASE 2

TUNNEL IPV4

LOCAL NETWORK  LAN SUBNET

REMOTE NETWORK

TYPE NETWORK  IP.DA.REDE/24

DESCRIPTION "REDE DO ENDIAN"  EXEMPLO
////////////////////////////////////////////////////

Phase 2 proposal (SA/Key Exchange)

PROTOCOL ESP

Encryption algorithms  MARCA SÓ O 3DES

Hash algorithms  MARCA SO O MD5

PFS KEY GROUP  5(1536 BIT)

LIFETIME 3600

"SAVE"
//////////////////////////////////////////////////////////////////

LADO ENDIAN 2.5.1

VPN>IPSEC> ENABLE IPSEC

adicionar ..

Nome: rede endian Habilitado:   sim

Local Remoto

interface selecione a interface exemplo "connexão principal"

subnet local 192.168.0.0/24  >>" a rede aonde esta o endian"

id local:  "ENDIAN"  "MESMO ID DO KEYIDTAG NA CONFIG DO PFSENSE"

REMOTO:

ANFITRIAO/IP REMOTO >> IP FIXO OU O VALIDO DA SUA REDE OU DDNS EXEMPLO TESTE.DDNS.NET

SUBNET REMOTA: REDE.DO.PF.SENSE/24

OPÇÕES:

AÇÃO DE DETECÇÃO POR PAR MORTO: REINICIAR

OBSERVAÇÕES "EU NÃO COLOQUEI NADA"

AUTENTICAÇÃO

UTILIZE UMA CHAVE PRE PARTILHADA >> NO CASO A PRE SHARED KEY  DO PFSENSE

SALVA E VAI EM AVANÇADO

Configuração do protocolo Internet Key Exchange

Encriptação IKE> aes(128)

Integridade IKE> SHA

Tipo de grupo IKE  GRUPO DH 5 (1536 BITS)
                                      DH 2 (1024 BITS)

TEMPO DE VIDA IKE> 1 HORA

Configuração de encapsulamento de dados de segurança

Encriptação ESP> 3DES

Integridade ESP> MD5

Vida da chave ESP> 8 HORAS

Opções adicionais

MARQUE A Perfect Forward Secrecy (PFS)

DESMARCADO A Negociar compressão de dados

SALVE E TESTE ....

CASO NÃO FUNCIONE ... TENTE COLOCAR O IP DO SEU PFSENSE NA DMZ DO ROTEADOR DELE.

ESPERO TER AJUDADO, TUTORIAL, NÃO ESTÁ TÃO AMIGAVEL MAIS ESPERO PODER TER COLABORADO!!!!!

Luizfc

TAMBEM É POSSIVEL COM O OPENVPN BASTA IR NA CENTRAL DE DOWNLOADS E BAIXAR AS VERSÕES MAIS NOVAS DO OPENSSL E O OPENVPN
instalar com o parametro rpm -Uvh lembrando que o openssl é preciso ir na basta /usr/bin/  e renomear o openssl para xopenssl por exemplo,
oque irá instalar sera o openssl1, então esse novo vc renomeia para openssl

para testear se atualizou de u, openssl verify e veja a versão, tente plo pfsense via SSL/TLS peer to peer , porém vc tera que fazer pela Shell pela interface grafica eu não consegui